分享方式:

請參閱 Microsoft Sentinel 的 AMA 移轉

  • 文章

本文說明當您有現有的Log Analytics代理程式 (MMA/OMS),且正在使用 Microsoft Sentinel 時,移轉至 Azure 監視器代理程式 (AMA)。

重要

Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。 如果您在Microsoft Sentinel 部署中使用Log Analytics代理程式,建議您開始規劃移轉至 AMA。

必要條件

從 Azure 監視器檔開始,提供此移轉程式的代理程式比較和一般資訊。

本文提供 sentinel Microsoft 的特定詳細數據和差異。

代理程式之間的差距分析

Azure 監視器代理程式提供額外的功能和輸送量,比舊版 Log Analytics 代理程式高出 25%。 遷移至新的 AMA 連接器以取得更高的效能,特別是當您使用伺服器作為 Windows 安全性事件或轉送事件的記錄轉寄站時。

Azure 監視器代理程式提供下列額外功能,舊版 Log Analytics 代理程序不支援此功能:

記錄類型 功能
Windows 記錄 依安全性事件標識碼進行篩選
Windows 事件轉送
Linux 記錄 多路連接

只有舊版Log Analytics代理程式支援的唯一記錄是Windows防火牆記錄。

每個組織都會有不同的成功計量和內部移轉程式。 本節提供從 Log Analytics MMA/OMS 代理程式移轉至 AMA 時所要考慮的建議指引,特別是針對 sentinel Microsoft。

在您的移轉程式中包含下列步驟:

  1. 請確定您已檢閱必要的必要條件和其他考慮,如 Azure 監視器檔中所述。

  2. 執行概念證明,以測試 AMA 如何在開發或沙箱環境中將數據傳送至Microsoft Sentinel。

    1. 若要將 Windows 電腦連線到 Windows 安全性 事件連接器,請從 Microsoft Sentinel 中的 AMA 數據連接器頁面開始 Windows 安全性 事件。 如需詳細資訊,請參閱 Windows 代理程式型連線

    2. 移至 [透過舊版代理程序 數據連接器的安全性事件] 頁面。 在 [指示] 索引標籤的 [設定>步驟 2] 底下選取要串流的事件,選取 []。 這會設定您的系統,讓您不會透過 MMA/OMS 接收任何安全性事件,但依賴此代理程式的其他資料源將會繼續運作。 此步驟會影響向目前Log Analytics工作區報告的所有機器。

    重要

    使用兩種不同類型的代理程式從相同來源擷取數據,會導致Microsoft Sentinel 工作區中的雙重擷取費用和重複事件。

    如果您需要同時讓這兩個數據連接器同時執行,建議您只在基準檢驗或測試比較活動的時間有限的情況下,在個別的測試工作區中執行。

  3. 測量概念證明的成功。

    若要協助進行此步驟,請使用 AMA 移轉追蹤器 活頁簿,此活頁簿會顯示向工作區報告的伺服器,以及它們是否已安裝舊版 MMA、AMA 或兩個代理程式。 您也可以使用此活頁簿來檢視從計算機收集事件的 DCR,以及要收集的事件。

    例如:

    AMA 移轉追蹤器活頁簿的螢幕快照。

    成功準則應包含 MMA/OMS 和 AMA 代理程式在相同主機上內嵌的量化數據統計分析和比較:

    • 在預先定義的時段內測量您的成功,代表您環境的一般工作負載。

    • 在測試時,請務必測試 AMA 所提供的每個新功能,例如 Linux 多路連接、Windows 事件篩選等等。

    • 根據組織的風險配置檔和變更程式,規劃生產環境中 AMA 代理程式的推出。

  4. 在您的生產環境中推出新的代理程式,並執行 AMA 功能的最終測試。

  5. 中斷任何依賴舊版連接器的數據連接器,例如使用 MMA 的安全性事件。 讓新的連接器保持執行中,例如 Windows 安全性 AMA 的事件。

    雖然您可以同時讓舊版 MMA/OMS 和 AMA 代理程式平行執行,但請確定每個數據源只使用一個代理程式將數據傳送至 sentinel Microsoft,以避免重複的成本和數據。

  6. 請檢查您的Microsoft Sentinel 工作區,以確定所有數據流都已使用新的 AMA 型連接器來取代。

  7. 卸載舊版代理程式。 如需詳細資訊,請參閱 管理 Azure Log Analytics 代理程式

常見問題集

下列 常見問題 可解決使用 Microsoft Sentinel 進行 AMA 移轉的特定問題。 如需詳細資訊,請參閱 Azure 監視器檔中 Azure 監視器代理程式的 常見問題。

如果我在Microsoft Sentinel 部署中平行執行 MMA/OMS 和 AMA,會發生什麼事?

AMA 和 MMA/OMS 代理程式可以共存於同一部電腦上。 如果兩者都會將數據從相同的數據源傳送到Microsoft Sentinel 工作區,同時,就會從單一主機傳送重複事件和雙重擷取費用。

針對生產推出,建議您為每個數據源設定 MMA/OMS 代理程式或 AMA。 若要解決任何重複問題,請參閱 Azure 監視器檔中的相關常見問題

AMA 還沒有Microsoft Sentinel 部署需要運作的功能。 我是否應該移轉?

舊版 Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰。

建議您隨時掌握隨著時間而針對 AMA 發行的新功能,因為它接近 MMA/OMS 的同位。 只要 AMA 中提供執行 Microsoft Sentinel 部署所需的功能,即可立即移轉。

雖然您可以同時執行 MMA 和 AMA,但您可能會想要一次移轉每個連接器,同時執行這兩個代理程式。

下一步

如需詳細資訊,請參閱